אימפאקט
אַ אַטאַקער קענען בייפּאַס זיכערהייט לאָגיק און דערלויבעניש טשעקס אין Next.js אַפּלאַקיישאַנז, פּאַטענטשאַלי גיינינג פול אַקסעס צו לימיטעד רעסורסן [S1]. די וואַלנעראַביליטי איז קלאַסאַפייד ווי קריטיש מיט אַ CVSS כעזשבן פון 9.1 ווייַל עס ריקווייערז קיין פּריווילאַדזשאַז און קענען זיין עקספּלויטאַד איבער די נעץ אָן באַניצער ינטעראַקשאַן [S2].
וואָרצל גרונט
די וואַלנעראַביליטי סטעמס פון ווי Next.js פּראַסעסאַז ינערלעך סאַב-ריקוועס אין זיין מידוואַרע אַרקאַטעקטשער [S1]. אַפּפּליקאַטיאָנס וואָס פאַרלאָזנ זיך מידוואַרע פֿאַר דערלויבעניש (CWE-863) זענען סאַסעפּטאַבאַל אויב זיי טאָן ניט רעכט וואַלאַדייט די אָנהייב פון ינערלעך כעדערז [S2]. ספּאַסיפיקלי, אַ פונדרויסנדיק אַטאַקער קענען אַרייַננעמען די x-middleware-subrequest כעדער אין זייער בקשה צו טריק די פריימווערק אין טרעאַטינג די בעטן ווי אַ שוין אָטערייזד ינערלעך אָפּעראַציע, יפעקטיוולי סקיפּינג די מידוואַרע ס זיכערהייט לאָגיק [S1].
ווי FixVibe טעסץ פֿאַר עס
FixVibe איצט ינקלודז דעם ווי אַ גייטיד אַקטיוו טשעק. נאָך פעלד וועראַפאַקיישאַן, active.nextjs.middleware-bypass-cve-2025-29927 קוקט פֿאַר Next.js ענדפּאָינץ וואָס לייקענען אַ באַסעלינע בעטן, און לויפט אַ שמאָל קאָנטראָל זאָנד פֿאַר די מידוואַרע בייפּאַס צושטאַנד. עס ריפּאָרץ בלויז ווען די פּראָטעקטעד מאַרשרוט ענדערונגען פון געלייקנט צו צוטריטלעך אין אַ וועג קאָנסיסטענט מיט CVE-2025-29927, און די פאַרריכטן פּינטלעך האלט רימידייישאַן פאָוקיסט אויף אַפּגריידינג Next.js און בלאַקינג די ינערלעך מידדוואַרע כעדער בייַ די ברעג ביז פּאַטשט.
באַטאָנען פיקסיז
- אַפּגרייד Next.js: גלייך דערהייַנטיקן דיין אַפּלאַקיישאַן צו אַ פּאַטשט ווערסיע: 12.3.5, 13.5.9, 14.2.25 אָדער 15.2.3 [S1, S2].
- מאַנואַל כעדער פֿילטרירונג : אויב אַן גלייך אַפּגרייד איז ניט מעגלעך, קאַנפיגיער דיין וועב אַפּפּליקאַטיאָן פירעוואַלל (WAF) אָדער פאַרקערט פּראַקסי צו באַזייַטיקן די
x-middleware-subrequestכעדער פון אַלע ינקאַמינג פונדרויסנדיק ריקוועס איידער זיי דערגרייכן די Next.js סערווער [S1]. - Vercel דיפּלוימאַנט : דיפּלוימאַנץ כאָוסטיד אויף Vercel זענען פּראָואַקטיוולי פּראָטעקטעד דורך די פּלאַטפאָרמע ס פיירוואַל [S2].